Jump to content

HalfHuman

Members
  • Content Count

    34
  • Joined

  • Last visited

Everything posted by HalfHuman

  1. нет, там файл в архиве (я думаю, что уже ни для кого не секрет, что docx/xlsx/pptx это пожатые ZIPом папки с файлами xml), файл реально внутри есть. что делает файл после запуска - не знаю, не помню, что там было, когда я исследовал файл в прошлом году, а сейчас уже неинтересно ковыряться. при перепроверке файл из карантина вынимает во временную папку, сканирует его, находит зловреда, удаляет временный файл, пытается открыть или что-то сделать с именем файла с учетом нахождения его в контейнере по оригинальному пути, создает файл в необработанных с именем файла, который открыть не смог, при этом время файла в карантине не меняется. на другие файлы срабатывает по-другому: при проверке файл пропадает из списка карантина, потом заново там появляется с новым временем (текущее время проверки) складывается впечатление, что из-за попытки что-то сделать с несуществующим именем файла в контейнере логика перепроверки дает сбой и не убирает за собой мусор. и обычно при исследовании вирусов я употребляю выражение "открыть файл" подразумевая нажатие F3 (просмотр) в FAR Manager.
  2. В моем случае при попытке по дате изначального файла найти письмо - при просмотре письма антивирус успешно удалил из письма весь файл (само письмо уже хранилось локально в PST), при этом не положил оригинал (само тело письма) в резервное хранилище. Так что я играюсь с самим файлом, который тогда при получении сохранил из письма.
  3. нет, не появляется. и об этом я тоже писал 31.03.2017 11:13 "при удалении из карантина перестал проявляться" у меня в карантине 5 файлов, а постоянно появляется только два - одного типа, они на скриншоте два разных файла. То есть какие-то зловреды антивирус обрабатывает некорректно. - вытаскивает, проверяет и запихивает в необработанные. Другие - как лежали молча в карантине, так и лежат. То, что антивирус перепроверяет файлы после получения обновления - нормально. Но то, что он два из 5 вытаскивает в необработанные - ненормально. то есть если удалить файлы из необработанных и в карантине на 5 файлов сказать - перепроверить, то 2 из них появляются в необработанных. Причем интересная особенность - в списке карантина дата события у тех файлов, которые появляются в списке необработанных - не меняется. А у трех других, которые не появляются в необработанных - устанавливается дата события, равная дате проведению перепроверки. (как после обновления, так и вручную). такое впечатление, что попадаются файлы, на которых процедура перепроверки падает в ступор - и при этом файл попадает в необработанные и не меняется дата события.
  4. воспроизвел в виртуалке, только у антивируса по умолчанию базы 13.07.2016 18:37:00 не видят зловреда. пришлось обновить антивирус (забрал папку Updates и через неё обновился) - тогда при проверке файла антивирус его добавляет в карантин и каждый раз при перепроверке файл попадает в необработанные. оставаясь при этом в карантине.
  5. да что вы прицепились к письму? без разницы, как получен файл - операция выполняется над файлом! я уже описал, как воспроизвести. специально файл выложил, под паролем, чтобы антивирус его раньше времени не приговорил, описал как все делать. да, файл в карантине, и проверяется каждый раз при обновлении баз, я об этом уже писал. вы правда ни разу не видели файл в необработанных? прилагаю скрин.
  6. удалить письмо на сервере нет возможности. во-первых, само письмо уже давно переехало ко мне в архив PST, во-вторых, сервер сдох в сентябре 2016. проблема не с почтой. проблема с файлом. я воспроизвел ситуацию на файловом уровне. в 11:13 я написал: научился воспроизводить: берем файл отсюда https://cloud.mail.ru/public/89aY/86UZtAx9H - файл ~WRO0001-201703331.rar, пароль KASPERSKY, внутри тот самый ~WRO0001.doc кидаем в папку при попытке доступа - файл невозможно прочитать. но! надо проверить файл на вирусы (хоть его персонально, хоть в результате полной проверки дисков), после чего он попадает в карантин и потом начинает постоянно падать в необработанные объекты при каждой перепроверке, хоть вручную, хоть по обновлению баз. Воспроизвел ситуацию у коллеги
  7. вредонос в письме был аналогичной (на мой взгляд) ситуации у пользователя в топике "Обнаружен троян в письме - как обработать? [Решено]" https://forum.kaspersky.com/index.php?showtopic=32518 мой файл был получен из письма 02.03.2016 в 14:46, сейчас я это письмо нашел, внутри пересланное как вложенное письмо-подделка из ростелекома от той же даты 14:10, но сейчас оно даже вложенное с темой "Message has been disinfected : doc" и дата изменения письма в папке Oultook - сегодня только что 31.03.2017 15:29. Скорее всего я тогда исследовал это вложение, но ни скриншотов с вирустотал, ни другой информации за это время не нахожу. как вредонос файл в папке временный файлов word определен 20.10.2016 21:07:53 и с тех пор находится в хранилище резервных файлов (точне, "находился" , так как я его восстановил 28.03.2017 в 16:44 и файл из хранилища пропал). зачем вам подробности про почтовый сервер, если у вас есть файл и известно, что с ним нужно делать, чтобы воспроизвести проблему? сообщаю, хотя реально не понимаю, зачем это вам: на тот момент это был наш внутренний почтовый сервер с установленным KES10 (компоненты Файловый антивирус, сетевой экран и защита от сетевых атак), точно не вспомню версию, который получал почту из интернет через проброшенные порты с интернет шлюзов от двух провайдеров. Exchange 2003. Без модулей антивируса для Exchange или SMTP.
  8. по детектированию особо ничего не видно создается временный файл в обычной папке TEMP, читается, удаляется и в это время пытается открыть папку-контейнер, которой нет. при удалении из карантина перестал проявляться вручную добавить в карантин - не помогает (появляется 2 файла в карантине, сам doc и внутренний word/document.xml) научился воспроизводить: берем файл отсюда https://cloud.mail.ru/public/89aY/86UZtAx9H - файл ~WRO0001-201703331.rar, пароль KASPERSKY, внутри тот самый ~WRO0001.doc кидаем в папку при попытке доступа - файл невозможно прочитать. но! надо проверить файл на вирусы (хоть его персонально, хоть в результате полной проверки дисков), после чего он попадает в карантин и потом начинает постоянно падать в необработанные объекты при каждой перепроверке, хоть вручную, хоть по обновлению баз. Воспроизвел ситуацию у коллеги
  9. нет, не пробовал я так понимаю проблема в том, что по какой-то причине антивирус после получения обновления баз вытаскивает на свет божий откуда-то какой-то файл, заново его проверяет и пишет бред в логах (по другому ругань на файл по несуществующему пути назвать тяжело) при переустановке вчистую (если удалять карантин и резервное хранилище) неоткуда будет вытаскивать файл для проверки - такой проблемы не будет, просто глюк антивируса будет маскироваться отсутствием файлов в карантине или где там ещё. по поиску "перепроверить объекты в карантине после обновления касперский" в гугле нашел топик на этом же форуме с аналогичной проблемой "Обнаружен троян в письме - как обработать? [Решено]" https://forum.kaspersky.com/index.php?showtopic=325185 устранением (но не решением) проблемы была очистка файлов из карантина и резервного хранилища. то есть этот глюк, хоть и достаточно редко (а может и не редко, просто не все обращают внимание на необработанные объекты или не обращаются), проявляется как минимум с KES 10.2.2.10535 (mr1) 15.06.2015 проверил - после удаления файла в "необработанных" - нужно в "карантине" на файле ткнуть "перепроверить" - файл пропадает из "карантина", сразу же появляется вновь (дата обнаружения остается старой) и, вуаля, на вкладке "необработынные файлы" мы снова видим под текущим временем файл. есть предположение, что такая проблема возникает при обработке файлов-контейнеров (у меня docx, по сути - zip, в топике трояна в письме - контейнер - само письмо с вложением) - антивирус вытаскивает файл во временное расположение, при этом перенося его в "необработанные", проверяет его, а удалить не может тот путь, который указан у первоначального файла. и "необработанный" продолжает мозолить глаза и статистику. буду посвободнее, попробую просмотреть прокмоном подробнее.
  10. то, что журналы будут записываться на жесткий диск вместо ssd, в случае нормально написанного софта, отдельным процессом или хотя бы тредом - никак на производительности не отразится, а постоянная перезапись ssd таки уменьшает его ресурс. к тому же опять таки цена гигабайта ssd выше цены hdd, и ssd при одной цене с hdd будет поменьше, что вызывает желание перенести чего-нибудь, чтобы место освободить. антивирус с его базами должны сидеть в памяти, иначе за каждым действием будет лезть на диск, что крайне затормозит систему - значит производительность упадет только в момент загрузки всей системы, например на загрузку антивируса потратится 10 секунд вместо 5 (цифры с потолка) получается переносом антивируса с hdd на ssd мы увеличиваем ресурс ssd, жертвуя только несколькими секундами на старте системы. у меня дома, например, ssd 128 гб и свободно всего 2.8 гб. папки антивируса на работе занимают чуть больше 4 гб. если бы я вдруг решил поставить антивирус дома - софт размером в 4 гб - хороший кандидат на перенос. а хранение информации в dram, ssd и hdd - три совершенно разные процесса
  11. забыл сказать, но может это в логах будет понятно - теперь время обнаружения файла 14:00:38
  12. поймал судя по всему файл возвращается сразу после обновления баз. архив с записью procmon (где-то минута, остальное вырезано) и файлы трейса с уровнем 600 тут - https://cloud.mail.ru/public/5CXH/xKVuDszrx файл procmon есть и более подробный, но может и этого хватит
  13. на обед поставил procmon с мониторингом папки файл в необработанных снова появился в 13:00:39 avp.exe в этот момент делал две операции CreateFile,на первую получил результат (путь "C:\documents and settings\username\appdata\local\microsoft\windows\temporary internet files\content.word\~wro0001.doc\word\") REPARSE, на вторую (путь "C:\Users\USERNAME\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.WORD\~WRO0001.DOC\WORD" )PATH NOT FOUND. пути скопировал из procmon - первый через document and settings, сточными и бэкслэш в конце, второй через Users и всё, кроме Users - прописными и без бэкслеша в конце. в момент удаления обращения к папке нет. попробую "поймать"это событие, судя по всему оно происходит с периодичностью один-два часа почти ровно в начале часа.
  14. dir /a *.doc в данной папке сообщает, что файл не найден FAR Manager от имени администратора и от имени пользователя файла не видят. проводник такой файл не отображает. в самой папке бОльшая часть файлов ~WRS{RANDOMGUID}.tmp, мЕньшая ~WRF{RANDOMGUID}.tmp и при сортировке по имени посередине между ними лежит ~WRO0001-20170302135814.rar, в который заархивирован с паролем и шифрованием имен сам исходный (а судя по дате изменения "вылеченный" файл). последняя перезагрузка - 4 суток назад. то есть выглядит это всё так, будто файла самого нет. и сам касперский же при попытке открыть папку с объектом дает ошибку.
  15. в 10:00:38 файл опять висит в необработанных патч pf1879 устанавливался для исправления утечки дескрипторов, обсуждение в ветке https://forum.kaspersky.com/index.php?showtopic=366640
  16. обнаружилось на KES10 SP1 MR2 (10.2.4.674 mr2), продолжилось при обновлении до mr3 (10.2.5.3201 mr2,mr3),осталось при установке патча pf1879 (10.2.5.3201 mr2,mr3,pf1879), под политикой, управляется с сервера KSC10 10.3.407 прямо сейчас вижу тот же файл с датой события 17.03.2017 17:00:35 - удаляю. посмотрю, когда заново появится.
  17. 20.10.2016 на моей рабочей станции был вылечен файл в %USERPROFILE%\AppData\Local\Microsoft\Temporary Internet Files\Content.Word\~WRO0001.doc (лежит в резервном хранилище). в это же самое время в карантине появился файла %USERPROFILE%\AppData\Local\Microsoft\Temporary Internet Files\Content.Word\~WRO0001.doc//word/document.xml объект "троянская программа HEUR:Exploit.MSWord.CVE-2015-1641.gen" спустя продолжительное время для улучшения статистики стали очищать необработанные файлы, я посмотрел, что это часть файла и заархивировал весь ~WRO0001.doc с паролем, после чего в списке необработанных файлов я удалил файл. но эта строка с этим файлом постоянно возвращается, только она одна (всего 4 записи в карантине и 28 файлов в резервном хранилище). пробовали и удалять и перепроверять - файл строчка пропадает, статус становится ОК. спустя некоторое время статус опять "Есть необработанные объекты" и строка есть с новой датой события. самого файла ~WRO0001.doc уже физически нет. При попытке "открыть папку исходного размещения файлов" (опция из контекстного меню) получаю ошибку "Ошибка открытия папки. Возможно, папка не существует." удаление и перепроверка, если их инициировать с сервера KSC10, тоже не помогает. надоело каждый раз перед формированием отчета по сети лезть и удалять один и тот же не существующий файл. почему оно возвращается, хотя файла нет, как то этого избавиться?
  18. то есть тысячи людей, устанавливающих продукт с ошибкой, который выложен в качестве релизного, столкнутся с проблемой и будут дергать техподдержку для получения патча или терпеть, пока не выйдет новая версия? и это нормально? я как-то привык к тому, что при обнаружении проблемы производитель её исправляет и обновляет дистрибутив.
  19. В целом применение патча проблему исправляет. Патч применен на части серверов и порядка 80% рабочих станций - после перезагрузки проблем с утечкой не наблюдаем. Конкретно на моей рабочей станции avp.exe от имени системы использует порядка 12 тысяч дескрипторов сразу после перезагрузки, но в дальнейшем их использование падает, в данный момент 3.5 тысячи при аптайме 4.5 часа. Можно сказать, что проблему утечки дескрипторов патч решает. Новых проблем пока не замечено. мне интересно, почему в таком случае дистрибутив антивируса не обновляют? Если проблема известная и известно её решение, обновили бы дистрибутив, мы так вообще не догадались бы, что проблема такая была (переходить с MR2 на MR3 стали только в середине февраля 2017, а дистрибутив подписан аж 18 июля 2016 и с этого момента так и лежит).
  20. по первым тестам (в виртуалке) ситуация изменилась - потребление дескрипторов растет в пропорции 1:1 и после нескольких минут бездействия падает до первоначального. сейчас запустил однострочник до 1 млн "for /l %A IN (1,1,1000000) do @cmd /c echo %A" - раз в минуту наблюдаю падение используемых дескрипторов и график памяти тоже - минуту растет и потом падает. видимо раз в минуту работает сборщик мусора.
  21. ок, буду ждать. При проверке серверов нашел, что на терминальном сервере антивирус не обновлен - стоит MR2 : Запущен: 08.02.2017 15:11:18 Выполняется: 29 02:12:14 Хэндлов: 4535
  22. Полностью поддерживаю. Лог при этом растет только в момент дикий запросов на изменение и потом быстро уменьшается.
  23. https://cloud.mail.ru/public/EPh7/EtoPaUXjs с конфигом делал 1000 запусков, т.к. на 10000 ресурсов не хватает ресурсов хронология: на перед запуском дескрипторов порядка 1900 запустил строчку for /l %A IN (1,1,1000) do @cmd /c @echo %A дескрипторов дошло до 3900 после окончания минут за 3-5 дескрипторы упали до 2900 отключил мониторинг debug level выставил в 600
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.